Índice de madurez de riesgos para auditores

Por: Juan Alberto Villanueva Chang

De un tiempo atrás de los pasos iniciales para implementar una gestión de riesgos en las organizaciones, existe hoy el  interés por lograr un método estándar de medición de la madurez de la gestión de riesgos que satisfaga tanto a la administración como a los auditores internos, hecho que probablemente se logrará cuando se alcance la madurez adecuada en la cultura de riesgos en todos los niveles.

Para los gestores de riesgos, entre algunos intentos por lograr una medición de la gestión de riesgos en las entidades, se conoce el “Modelo de Madurez de Riesgos (RMM)” divulgado en 1997. Este método, mediante un cuestionario de un número de preguntas describe cuatro niveles de capacidad de incrementar la gestión de riesgos (de menos a más: simplista, principiante, normalizado y natural) y en cada nivel de madurez se definen cuatro atributos (cultura, proceso, experiencia y aplicación).

Existe otro método de bastante aceptación en los últimos años, conocido como el “Índice de Madurez de Riesgos de Aon (2001)[1]”. Se calcula en base a preguntas relacionadas con las prácticas de gestión de riesgos, gobierno corporativo y toma de decisiones en la empresa. Las preguntas abordan los siguientes aspectos:

—  El apoyo y la participación del Consejo de Administración en la gestión de los riesgos

—  La función de gestión de riesgos dentro de la empresa

—  Los procesos de comunicación de la gestión de los riesgos

—  La cultura del riesgo, el compromiso y responsabilidad

—  Proceso de identificación de riesgos

—  Proceso y estrategias de gestión de riesgo

—  La información del riesgo en la toma de decisiones y gestión de recursos

—  Proceso de análisis y cuantificación

—  Políticas y estrategias globales de gestión del riesgo

La calificación de este índice de menos a más va de 1 a 5 (inicial, básico, definido, operativo y avanzado). En base a su excelente desarrollo y referencia al COSO ERM se considera de importancia repasarlo e intentar adaptarlo en las organizaciones. 

Por otro lado, en el campo de los auditores, con el ánimo de realzar el valor de su trabajo y dentro de una cultura avanzada de riesgos, cabe destacar el intento de medición de la madurez del riesgo desarrollado el 2002 por Basil Orsini, CIA, CCSA, CGAP, CFE Director de Auditoría Interna del Departamento de Recursos Humanos de Canadá, Gatineau, Quebec, en su documento  “A Benchmaking Tool From Human Resources Development Canadá - Facilities of Risk Management Practices in the Organization”.

El autor, igualmente propone una medición de preguntas en 20 indicadores de desempeño dentro de un marco holístico de cinco elementos de dirección. La calificación de la madurez del riesgo de menos a más va de: incipiente, conocido, definido, administrado y optimizado. Los cinco principales indicadores de medición de la gestión de riesgo son:

·         Cultura / filosofía organizacional

o   Valora la contribución de los empleados en la administración del riesgo

o   Cultura de administración del riesgo

o   Papel y responsabilidades en el manejo del riesgo

o   Encadenamiento a los valores y la ética

·         Liderazgo y compromiso

o   Liderazgo del gerente general

o   Política de riesgo y marco de referencia para la administración

o   Papel y responsabilidades del gerente general

·         Integración con sistemas y prácticas de administración departamental

o   Encadenamiento a los negocios y la planificación operativa

o   Encadenamiento a la medición del desempeño

o   Encadenamiento a la calidad del servicio

o   Encadenamiento a la información de administración departamental

o   Encadenamiento a la comunicación interna y retroalimentación sobre riesgos

o   Encadenamiento a la comunicación con inversionistas

·         Habilidades en gestión de riesgos

o   Competencias en administración del riesgo

o   Técnicas en administración del riesgo

o   Soporte de especialistas

·         Reporte y control

o   Exploración de amenazas y oportunidades externas

o   Controles

o   Justificación

o   Medición y supervisión

Constituye pues un reto para los auditores internos tratar de crear un indicador de medición interna, con ayuda de esta última metodología y las anteriores diseñadas para la administración. Con esos elementos se puede elaborar una propia medición en la que se recoja el nivel de cultura de riesgos en su organización, seleccionado un número reducido de preguntas y quien sabe dando un peso a cada estructura de preguntas y diseñado sobre un índice.

A manera de ejemplo, se presenta un tipo de calificación de la madurez del riesgo para los auditores internos como resultado de la interpretación de los anteriores documentos, así como del Marco Internacional para la Práctica Profesional de la Auditoría Interna y Rol de auditoría interna en el ERM:

Nivel de Madurez	Característica	Enfoque de Auditoría Interna
1. Incipiente	No existe un enfoque de gestión del riesgo	Promover la gestión de riesgos y establecer la planeación  de auditoría con base a una valoración de riesgos realizada por auditoría interna
2. Conocido	Existen esfuerzos  aislados de gestión de riesgos	Promover el enfoque de gestión de riesgos a nivel organizacional y establecer la planeación de auditoría con base en una metodología interna
3. Definido	Existe un enfoque formal de gestión de riesgos. Se tiene definida y divulgada en toda la  organización la estrategia, políticas y metodología de medición de la gestión de riesgos.	Ser facilitador en la identificación y evaluación de riesgos  y utilizar en la planeación de auditoría  una metodología con base en riesgos, tomando en cuenta las herramientas y taxonomía de la gestión de riegos
4. Administrado	El proceso de gestión de riesgos se viene  desarrollado y comunicando paulatinamente  de acuerdo a las prioridades en la cadena de valor de la entidad. El límite o tolerancia al riesgo se tiene definido.	Auditar los procesos de  la organización  poniendo énfasis como complemento en la planeación de auditoría a los control débiles que resultan de la evaluación de la gestión de riesgos
5. Optimizado	La gestión de riesgo y control interno están completamente inmersos e identificados en  todas las operaciones y procesos de la cadena de valor de la organización. Existen indicadores para su medición y monitoreo.	Auditar  y otorgar aseguramiento respecto a los procesos de gestión integral de riesgos  y utilizar la valoración de riesgos de la administración donde sea apropiado como complemento a la planeación de auditoría.

---

[1] La calificación es gratuita a solicitud de los interesados a: risk.maturity.index@aon.com